Naga Cyber Defense

Trusted Security for all of Indonesia

You are here: Home / Archives for News

Server Microsoft Exchange diretas dalam serangan rantai balasan internal

by

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email rantai balasan internal yang dicuri.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Aktor tersebut mengelabui target perusahaan agar membuka lampiran berbahaya, mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

Salah satu email Squirrelwaffle ke target
Sumber: TrendMicro

Karena email ini berasal dari jaringan internal yang sama dan tampaknya merupakan kelanjutan dari diskusi sebelumnya antara dua karyawan, ini mengarah pada tingkat kepercayaan yang lebih besar bahwa email tersebut sah dan aman.

Dokumen Microsoft Excel berbahaya yang digunakan oleh SquirrelWaffle

Menurut laporan Trend Micro, para peneliti mengatakan bahwa mereka telah melihat serangan ini mendistribusikan pemuat SquirrelWaffle, yang kemudian menginstal Qbot.

Namun, peneliti Cryptolaemus ‘TheAnalyst’ mengatakan bahwa dokumen berbahaya yang digunakan oleh aktor ancaman ini menjatuhkan kedua malware sebagai muatan terpisah, bukan SquirrelWaffle yang mendistribusikan Qbot.

Microsoft telah memperbaiki kerentanan ProxyLogon pada bulan Maret dan kerentanan ProxyShell pada bulan April dan Mei, menanganinya sebagai zero-day pada saat itu.

Pelaku ancaman telah menyalahgunakan kedua kerentanan untuk menyebarkan ransomware atau menginstal webshell untuk akses pintu belakang nanti. Serangan ProxyLogon menjadi sangat buruk sehingga FBI menghapus web shell dari server Microsoft Exchange yang berbasis di AS tanpa terlebih dahulu memberi tahu pemilik server.

Setelah sekian lama dan media luas kerentanan ini telah diterima, tidak menambal Exchange Server hanyalah undangan terbuka untuk peretas.

Sumber : Bleeping Computer

Dialog Siber Bilateral India-New Zealand Kedua

by

Dialog Siber Bilateral India-New Zealand edisi Kedua diadakan pada 16-17 November 2021 dalam mode virtual. Delegasi India dipimpin oleh Shri Atul Malhari Gotsurve, Sekretaris Bersama (Cyber ​​Diplomacy) dari Kementerian Luar Negeri (MEA). Delegasi Selandia Baru dipimpin bersama oleh Mr. Dan Eaton, Direktur Kebijakan Keamanan Nasional, Departemen Perdana Menteri dan Kabinet (DPMC) dan Ms. Georgina Sargison, Penjabat Manajer Unit, Emerging Security Issues, International Security and Disarmament Division, Ministry of Luar Negeri dan Perdagangan (MFAT). Pejabat senior dari berbagai Kementerian dan Departemen pemerintah dari kedua negara berpartisipasi dalam Dialog Siber.

Dialog Siber membahas berbagai aspek kerja sama bilateral yang ada di dunia maya, bertukar pandangan tentang perkembangan terkini isu-isu siber di forum bilateral, regional dan multilateral serta menjajaki inisiatif untuk lebih memperdalam kerja sama siber.

Delegasi membahas berbagai topik yang menjadi kepentingan bersama dan sepakat untuk bekerja sama erat satu sama lain di bidang keamanan siber, kejahatan siber, dan pembangunan kapasitas.

New Delhi
November 17, 2021

Sumber : Mea

Grup ransomware Conti telah mengalami pelanggaran data yang memungkinkan peneliti untuk mengaksesnya.

by

Para peneliti Prodaft dapat mengidentifikasi alamat IP asli dari salah satu server yang digunakan oleh grup ransomware Conti dan mengakses konsol selama lebih dari sebulan. Server yang terpapar menjadi tuan rumah portal pembayaran yang digunakan oleh geng untuk negosiasi tebusan dengan korbannya.

“Tim PTI mengakses infrastruktur Conti dan Mengidentifikasi alamat IP sebenarnya dari server yang dimaksud.” membaca laporan yang diterbitkan oleh para ahli. “Tim kami mendeteksi kerentanan di server pemulihan yang digunakan Conti, dan memanfaatkan kerentanan itu untuk menemukan alamat IP asli dari tersembunyi yang menghosting situs web pemulihan grup”

Para peneliti dapat membuka kedok alamat IP yang sebenarnya dari layanan tersembunyi TOR Conti dan contirecovery.ws dan 217.12.204.135. Yang terakhir adalah alamat IP yang dimiliki oleh perusahaan hosting web Ukraina ITL LLC.

Peneliti Prodaft mampu mengkompromikan server dan menyatukan koneksi lintas jaringan untuk koneksi masuk, termasuk SSH yang digunakan oleh anggota Conti untuk mengakses server.

Namun, alamat IP yang terkait dengan koneksi SSH milik node keluar Tor yang digunakan oleh operator Conti untuk menyembunyikan identitasnya.

Para ahli juga dapat menentukan OS server di balik layanan tersembunyi, distro Debian dengan nama host ”dedic-cuprum-617836”. Para ahli berspekulasi nilai numerik dalam nama host adalah nomor faktur untuk server, yang ditetapkan oleh perusahaan hosting ITLDC.

“Linux version 4.9.0-16-amd64 (Debian 6.3.0-18deb9u1) #1 SMP Debian 4.9.272-2
(2021-07-19)

217.12.204.135 dedic-cuprum-617836.hosted-by-itldc.com dedic-cuprum-617836”

Para ahli juga membagikan konten file htpasswd dari host subjek yang dapat digunakan dalam penyelidikan selanjutnya pada operasi Conti.

Tim PTI juga dapat menemukan beberapa sesi obrolan korban dan menangkap kredensial login untuk akun MEGA yang digunakan saat menghubungi para korban. Para ahli dapat menemukan alamat IP penghubung, tanggal, metode pembelian, dan perangkat lunak yang digunakan untuk mengakses layanan berbagi dan mengunggah file.

Selengkapnya : Security Affairs

Server Microsoft Exchange Diretas Dalam Serangan Reply-Chain Internal

by

Pelaku ancaman meretas server Microsoft Exchange menggunakan ProxyShell dan eksploitasi ProxyLogon untuk mendistribusikan malware dan melewati deteksi menggunakan email reply-chain internal yang dicuri.

Saat pelaku ancaman melakukan kampanye email berbahaya, bagian tersulit adalah mengelabui pengguna agar cukup memercayai pengirim sehingga mereka membuka tautan atau menyertakan lampiran yang menyebarkan malware.

Peneliti TrendMicro telah menemukan taktik menarik yang digunakan untuk mendistribusikan email berbahaya ke pengguna internal perusahaan menggunakan server pertukaran Microsoft milik korban.

Pelaku di balik serangan ini diyakini sebagai ‘TR’, aktor ancaman terkenal yang mendistribusikan email dengan lampiran berbahaya yang menjatuhkan malware, termasuk Qbot, IcedID, Cobalt Strike, dan muatan SquirrelWaffle.

Sebagai cara untuk mengelabui target perusahaan agar membuka lampiran berbahaya, pelaku ancaman mengeksploitasi server Microsoft Exchange menggunakan kerentanan ProxyShell dan ProxyLogon.

Pelaku ancaman kemudian menggunakan server Exchange yang disusupi ini untuk membalas email internal perusahaan dalam serangan berantai balasan yang berisi tautan ke dokumen berbahaya yang menginstal berbagai malware.

“Dalam gangguan yang sama, kami menganalisis header email untuk email berbahaya yang diterima, jalur email internal (antara tiga kotak pesan server pertukaran internal), menunjukkan bahwa email tidak berasal dari pengirim eksternal, relai email terbuka, atau semua agen transfer pesan (MTA),” jelas laporan Trend Micro.

Selengkapnya: Bleeping Computer

Pelajaran utama dari serangan SolarWinds: Pikirkan kembali keamanan identitas

by

Menurut Peter Firstbrook dari Gartner, yang membagikan pandangannya tentang pelajaran terbesar yang dipetik tentang pembobolan SolarWinds Orion di KTT Manajemen Keamanan & Risiko firma riset – konferensi virtual Amerika minggu ini, di antara banyak pelajaran dari serangan siber SolarWinds yang belum pernah terjadi sebelumnya, ada satu hal yang masih belum dipahami oleh sebagian besar perusahaan: Infrastruktur identitas itu sendiri adalah target utama bagi peretas.

Ketika ditanya oleh VentureBeat tentang pelajaran terbesarnya dari serangan SolarWinds, Firstbrook mengatakan insiden itu menunjukkan bahwa “infrastruktur identitas adalah target.”

“Orang-orang perlu mengenali itu, dan mereka tidak,” katanya. “Itu adalah pesan terbesar saya kepada orang-orang: Anda telah menghabiskan banyak uang untuk identitas, tetapi sebagian besar bagaimana membiarkan orang-orang baik masuk. Anda benar-benar harus mengeluarkan uang untuk memahami ketika infrastruktur identitas itu dikompromikan, dan memelihara infrastruktur itu.”

Firstbrook menunjukkan satu contoh di mana peretas SolarWinds mampu melewati otentikasi multifaktor (MFA), yang sering disebut sebagai salah satu cara paling andal untuk mencegah pengambilalihan akun. Peretas melakukannya dengan mencuri cookie web, katanya. Ini dimungkinkan karena teknologi ketinggalan zaman sedang digunakan dan diklasifikasikan sebagai MFA, menurut Firstbrook.

“Anda harus menjaga infrastruktur [identitas] itu. Anda harus tahu kapan itu dikompromikan, dan ketika seseorang telah mendapatkan kredensial Anda atau mencuri token Anda dan menampilkannya sebagai nyata, ”katanya.

Manajemen identitas digital sangat sulit bagi perusahaan, dengan banyak yang menderita dari penyebaran identitas—termasuk identitas manusia, mesin, dan aplikasi (seperti dalam otomatisasi proses robot). Sebuah studi baru-baru ini yang dilakukan oleh vendor keamanan identitas One Identity mengungkapkan bahwa hampir semua organisasi — 95% — melaporkan tantangan dalam manajemen identitas digital.

Penyerang SolarWinds memanfaatkan kerentanan ini di sekitar manajemen identitas. Selama sesi dengan konferensi Gartner penuh pada hari Kamis, Firstbrook mengatakan bahwa penyerang sebenarnya “terutama berfokus pada menyerang infrastruktur identitas” selama kampanye SolarWinds.

Selengkapnya: Venture Beat

DuckDuckGo Menghentikan Aplikasi Android Dari Mengintip Data Anda

by

Pada hari Kamis, pro privasi di DuckDuckGo mengumumkan fitur baru yang dimaksudkan untuk menghentikan pelacak invasif dan pemain pihak ketiga yang mungkin dibundel dengan aplikasi yang mereka unduh.

Fitur “Perlindungan Pelacakan Aplikasi untuk Android” yang baru ini diluncurkan dalam versi beta sebagai bagian dari peramban seluler mandiri yang berfokus pada privasi perusahaan. Jika nama itu terdengar familier, mungkin karena Apple meluncurkan fitur serupa—dijuluki “Transparansi Pelacakan Aplikasi,” atau ATT—ke perangkat iOS-nya April lalu.

Sejak itu, telah banyak pemilik iPhone memilih untuk tidak mengizinkan aplikasi melacak aktivitas mereka untuk tujuan penargetan iklan. Sementara itu, perusahaan seperti Facebook dan Google, yang pendapatannya sangat besar sangat bergantung pada pelacakan itu, telah mengeluarkan miliaran dolar sejak fitur itu pertama kali hadir.

Hal terdekat yang ditawarkan Google kepada pengguna Android sejauh ini kembali pada bulan Juni, ketika perusahaan mengumumkan akan membiarkan pemilik Android 12 memilih keluar dari iklan yang dipersonalisasi di perangkat mereka mulai akhir tahun ini.

Bahkan ketika diluncurkan, kritik yang tak terhitung jumlahnya telah menunjukkan bahwa Google mengambil fitur tersebut hampir tidak menawarkan tingkat perlindungan yang sama dengan yang diberikan Apple kepada penggunanya, itulah sebabnya DuckDuckGo melangkah ke atas.

Gizmodo

Kata Sandi Paling Umum Tahun 2021 Terungkap

by

Pada hari Rabu, Nordpass menerbitkan studi tahunan penggunaan kata sandi di 50 negara, laporan “Kata Sandi Paling Umum”, evaluasi database yang berisi 4TB kata sandi bocor, banyak di antaranya berasal dari AS, Kanada, Rusia, Australia, dan Eropa. .

Menurut para peneliti, kata sandi yang paling umum pada tahun 2021, di seluruh dunia, adalah:

  • 123456 (103.170.552 buah)
  • 123456789 (46.027.530 buah)
  • 12345 (32.955.431 buah)
  • qwerty (22.317.280 buah)
  • password (20.958.297 buah)
  • 12345678 (14.745.771 buah)
  • 111111 (13.354.149 buah)
  • 123123 (10.244.398 buah)
  • 1234567890 (9.646.621 buah)
  • 1234567 (9.396.813 buah)

Di antara temuan tersebut, para peneliti juga menemukan bahwa sejumlah orang suka menggunakan nama mereka sendiri sebagai kata sandi (“charlie” muncul sebagai kata sandi paling populer ke-9 di Inggris selama tahun 2021, seperti yang terjadi).

“Onedirection” adalah opsi kata sandi populer terkait musik, dan berapa kali “Liverpool” muncul dapat menunjukkan seberapa populer tim sepak bola — meskipun, di Kanada, “hoki” tidak mengejutkan sebagai opsi terkait olahraga teratas dalam penggunaan aktif .

Kata-kata umpatan juga umum digunakan, dan jika menyangkut tema binatang, “lumba-lumba” adalah pilihan paling populer secara internasional.

Selain variasi angka dan keyboard PC, dalam beberapa daftar, opsi kata sandi lokal lainnya masuk 10 besar, termasuk nama keluarga “Chregan” di Afrika Selatan; kota “Barcelona” di Spanyol, dan nama “Tiffany” di Prancis.

Selengkapnya: ZDNet

Kampanye Phishing ‘PerSwaysion’ Masih Berlangsung, dan Menyebar

by

Kit phishing yang telah digunakan dalam ribuan serangan di seluruh dunia telah aktif secara signifikan lebih lama dari yang diperkirakan sebelumnya — dan terus menimbulkan ancaman potensial bagi organisasi di berbagai sektor, analisis baru menunjukkan.

Kit tersebut bernama PerSwaysion, dirancang untuk memberikan cara bagi penjahat dunia maya untuk meluncurkan kampanye phishing dengan relatif mudah dan dengan sedikit usaha di muka.

Aspek yang paling menonjol tentang ancaman tersebut adalah penggunaan layanan berbagi file Microsoft, seperti Sway, SharePoint, dan OneNote, untuk memikat pengguna ke situs pencuri kredensial.

David Pearson, salah satu pendiri dan CEO SeclarityIO yang baru diluncurkan, mengatakan bahwa analisis data perusahaannya di PerSwaysion menunjukkan kampanye tersebut, sebenarnya, diluncurkan setidaknya pada Oktober 2017 dan saat ini aktif meskipun ada pengungkapan publik tentang kit phishing grup dan TTP.

Analisis data dari URLscan menunjukkan bahwa selama 18 bulan terakhir saja, sekitar 7.403 orang dari 14 sektor industri mendarat di 444 portal phishing PerSwaysion yang unik di beberapa titik.

Korban berasal dari organisasi dalam pemerintahan AS, jasa keuangan, farmasi, perawatan kesehatan, kedirgantaraan, teknik, teknologi, dan sektor lainnya. Pearson memperkirakan jumlah organisasi yang terkena dampak kampanye sejak Mei 2020 setidaknya mencapai ratusan.

Selengkapnya: Dark Reading